Objets Connectés : l’UE impose enfin des règles de cybersécurité aux constructeurs et distributeurs

L’obtention d’un marquage CE qualifiera les objets connectés, qui devront selon le futur Règlement européen (Resilience Act) être conformes à des exigences de sécurité fondamentales à la protection des environnements technologiques. Ils étaient trop souvent les portes d’entrées pour des intrusions permettant de prendre le contrôle d’infrastructures, notamment dans le domaine industriel.

Partager
Objets Connectés : l’UE impose enfin des règles de cybersécurité aux constructeurs et distributeurs

Des amendes jusqu’à 2,5% du chiffre d’affaires ou 15 millions d’euros. Et des sanctions comme le rappel voire le retrait de la vente des produits mis en cause pour défaut de cybersécurité. L’Union européenne a choisi des réponses fortes pour compenser le retard pris dans la sécurisation des objets connectés. Ces derniers jusqu’alors ne se voyaient soumis qu’au strict minimum en matière de sécurité numérique, encourageant de fait les concepteurs et les producteurs de ces appareils à ne pas prévoir la protection informatique de ces équipements pourtant estimés à plus de 75 milliards d’exemplaires dans le monde d’ici 2025.

Un chiffrage forcément approximatif étant donné que la liste des équipements concernés est vaste : elle englobe tous les produits hardware et software (matériels et logiciels) ayant une composante numérique. Sont donc concernés par le nouveau dispositif tous les logiciels embarqués dans les ordinateurs domestiques, les équipements réseaux, les puces électroniques, les capteurs et caméras connectés, les automates, les sondes et autres outils de détection et de pilotage.

Uniformiser la sécurité des chaines industrielles

Ce texte vient en complément des Directives NIS et NIS-2 sur les Opérateurs de Services Essentiels (OSE), qui depuis 2016 établissent les exigences de sécurité des entités jugées critiques pour le fonctionnement des pays membres de l’Union (traitement de l’eau, énergie, télécoms, services financiers, alimentation…). Il s’agit de systématiser des modes de sécurisation connus de longue date dans d’autres domaines d’activités : assurer la gestion des identités des utilisateurs, organiser la protection des données, réduire la surface d’attaque, disposer d’une procédure de mise à jour des règles de sécurité, encadrer le contrôle des accès…

Il n’y a plus de distinguo entre les produits grand public et professionnels puisque ces cahiers des charges renforcés seront également applicables pour des appareils domestiques comme les solutions domotiques ou les caméras connectées destinées au marché des particuliers.

Un chantier industriel structurant

Il est bien question ici d’intégrer l’amélioration continue de la sécurité dans le cycle de vie des logiciels et des produits et de ne pas considérer qu’il s’agit seulement d’une configuration initiale qui resterait figée. À ce titre, la Commission européenne a, comme c’est l’usage, réalisé une analyse d’impact pour situer son projet de réglementation dans un contexte opérationnel.

Évidemment, l’intensification des usages numériques et la confiance investie dans l’intégrité des systèmes de communication et d’information sont au cœur de l’économie européenne des années à venir. Restent aux équipes en charge de la cybersécurité d’approfondir leur dialogue avec les directions des métiers, les financiers et les responsables juridiques pour mettre en œuvre sans tarder cette intégration systématique de ces règles de sécurité. Soit un chantier industriel particulièrement structurant, qui impliquera les processus de conception, de production et de distribution de nombreux secteurs économiques. Quelle que soit la taille des entités concernées.

Liens utiles :


Les avis d'experts sont publiés sous l'entière responsabilité de leurs auteurs et n'engagent en rien la rédaction

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS